Azure Container Networking Interface (CNI)는 Cilium의 혁신적인 기능을 통해 계속 발전하고 있습니다. Cilium 기반 Azure CNI (ACPC)는 Cilium의 확장된 Berkeley Packet Filter (eBPF) 기술을 활용하여 네트워크 정책 시행, 심층적인 관찰 기능, 향상된 서비스 라우팅과 같은 기능을 제공합니다. Azure Kubernetes Service (AKS) 클러스터 관리를 더욱 효율적이고 확장 가능하며 안전하게 만들어주는 최신 기능에 대해 자세히 살펴보겠습니다.
성능 향상: Cilium Endpoint Slice
최근 업데이트에서 가장 눈에 띄는 기능 중 하나는 CiliumEndpointSlice의 도입입니다. 이 기능은 AKS 클러스터에서 Cilium 데이터 평면의 성능과 확장성을 크게 향상시킵니다.
이전에는 Cilium이 Custom Resource Definitions (CRD)인 CiliumEndpoints를 사용하여 포드를 관리했습니다. 각 포드에는 포드의 상태 및 속성에 대한 정보가 포함된 CiliumEndpoint가 연결되어 있었습니다. 그러나 이 접근 방식은 특히 대규모 클러스터에서 컨트롤 플레인에 상당한 부담을 주었습니다.
이러한 부담을 완화하기 위해 CiliumEndpointSlice는 CiliumEndpoints와 해당 업데이트를 일괄 처리하여 컨트롤 플레인에 전파되는 업데이트 수를 줄입니다. 당사의 성능 테스트 결과 다음과 같은 놀라운 개선 사항이 나타났습니다.
- 평균 API 서버 응답성: 최대 50%의 지연 시간 감소 (쿼리 처리 속도 향상).
- 포드 시작 대기 시간: 최대 60% 감소 (더 빠른 배포 및 확장 가능).
- 클러스터 내 네트워크 대기 시간: 최대 80% 감소 (더 나은 애플리케이션 성능으로 이어짐).
이 기능은 Cilium 1.17 릴리스 이상을 사용하는 AKS 클러스터에서 기본적으로 General Availability (GA) 상태로 제공되며 추가 구성 변경이 필요하지 않습니다! CiliumEndpointSlices를 통한 Azure CNI의 개선 사항에 대해 자세히 알아보려면 다음 문서를 참조하십시오. High-Scale Kubernetes Networking with Azure CNI Powered by Cilium | Microsoft Community Hub
배포 유연성: Cilium 네트워크 정책을 위한 듀얼 스택
IPv4/IPv6 듀얼 스택 네트워크에서 작동하는 Kubernetes 클러스터는 추가적인 복잡성이나 성능 저하 없이 워크로드가 IPv4 및 IPv6 엔드포인트에 기본적으로 액세스할 수 있도록 합니다. 이전에는 Cilium 기반 Azure CNI를 실행하는 AKS 클러스터(AKS 1.29부터)에서 듀얼 스택 네트워킹을 미리보기 모드로 사용할 수 있도록 했습니다. 이제 이 기능이 General Availability (GA) 상태로 제공됨을 알려드리게 되어 기쁩니다! IPv4 및 IPv6 주소 지정을 모두 활성화하면 다양한 네트워크 구성을 원활하게 수용하여 혼합 환경에서 프로덕션 AKS 클러스터를 관리할 수 있습니다. 더 중요한 점은 Azure CNI의 Cilium 네트워크 정책에서 듀얼 스택 지원이 이러한 복잡한 환경에서 AKS 클러스터에 대한 보안 이점을 확장한다는 것입니다. 예를 들어 다음과 같이 eBPF 데이터 평면을 사용하여 듀얼 스택 AKS 클러스터를 활성화할 수 있습니다.
az aks create \
--location <region> \
--resource-group <resourceGroupName> \
--name <clusterName> \
--network-plugin azure \
--network-plugin-mode overlay \
--network-dataplane cilium \
--ip-families ipv4,ipv6 \
--generate-ssh-keys
Azure CNI의 네트워크 정책에 대해 자세히 알아보려면 다음 문서를 참조하십시오. Configure Azure CNI Powered by Cilium in Azure Kubernetes Service (AKS) - Azure Kubernetes Service | Microsoft Learn
사용 편의성: Cilium을 통한 노드 서브넷 모드
Azure CNI는 이제 Cilium Dataplane과 함께 노드 서브넷 IPAM 모드를 지원합니다. 노드 서브넷 모드에서는 포드에 대한 IP 주소가 노드 자체와 동일한 서브넷에서 할당되어 라우팅 및 정책 관리가 간소화됩니다. 이 모드는 특히 여러 서브넷을 관리하는 것이 번거로운 소규모 클러스터에 유용합니다. 이 모드를 사용하는 AKS 클러스터는 향상된 네트워크 가시성, Cilium 네트워크 정책 및 FQDN 필터링, ACNS (Advanced Container Networking Services)에서 제공하는 더 많은 기능의 이점도 얻습니다. 더욱 주목할 만한 점은 이 기능을 통해 이제 AKS 클러스터에서 eBPF 데이터 평면을 사용하여 모든 IPAM 구성 옵션을 지원한다는 것입니다. 다음과 같이 노드 서브넷 IPAM 모드와 eBPF 데이터 평면을 사용하여 AKS 클러스터를 만들 수 있습니다.
az aks create \
--name <clusterName> \
--resource-group <resourceGroupName> \
--location <location> \
--network-plugin azure \
--network-dataplane cilium \
--generate-ssh-keys
노드 서브넷에 대해 자세히 알아보려면 다음 문서를 참조하십시오. Configure Azure CNI Powered by Cilium in Azure Kubernetes Service (AKS) - Azure Kubernetes Service | Microsoft Learn.
심층 방어: Cilium Layer 7 정책
Cilium 기반 Azure CNI는 포괄적인 Layer4 네트워크 정책 기능을 Layer7로 확장하여 애플리케이션 트래픽에 대한 세분화된 제어를 제공합니다. 이 기능을 사용하면 애플리케이션 수준 프로토콜 및 메타데이터를 기반으로 보안 정책을 정의하여 강력한 보안 및 규정 준수 관리 계층을 추가할 수 있습니다.
Layer7 정책은 Cilium 에이전트와 함께 작동하는 ACNS 보안 에이전트의 일부인 오픈 소스 서비스 프록시인 Envoy를 사용하여 구현됩니다. Envoy는 서비스 간의 트래픽을 처리하고 애플리케이션 계층에서 필요한 가시성과 제어를 제공합니다. HTTP 및 gRPC 메서드, 경로, 헤더 및 기타 애플리케이션별 속성을 기반으로 정책을 시행할 수 있습니다. 또한 Cilium 네트워크 정책은 Kafka 기반 워크플로를 지원하여 보안 및 트래픽 관리를 향상시킵니다. 이 기능은 현재 퍼블릭 미리보기 모드이며 시작 경험에 대한 자세한 내용은 다음 링크를 참조하십시오. Introducing Layer 7 Network Policies with Advanced Container Networking Services for AKS Clusters! | Microsoft Community Hub.
곧 출시 예정: Wireguard를 통한 투명 암호화
Cilium의 Wireguard를 활용하면 고객은 HTTP 기반 트래픽이든 비 HTTP 트래픽이든 모든 네트워크 트래픽이 암호화되도록 하여 규정 준수를 달성할 수 있습니다. 사용자는 Cilium의 오픈 소스 기반 솔루션을 사용하여 Kubernetes 환경에서 노드 간 투명 암호화를 활성화할 수 있습니다. Wireguard가 활성화되면 각 클러스터 노드의 cilium 에이전트는 클러스터의 다른 모든 알려진 노드와 보안 Wireguard 터널을 설정하여 cilium 엔드포인트 간의 트래픽을 암호화합니다. 이 기능은 곧 퍼블릭 미리보기로 제공될 예정이며 ACNS의 일부로 활성화됩니다. 자세한 내용은 계속 지켜봐 주십시오.
결론
Cilium 기반 Azure CNI의 이러한 새로운 기능은 AKS 환경에서 기본 네트워크 성능과 보안을 향상시키기 위한 당사의 노력을 보여줍니다. CiliumEndpointSlice를 통한 인상적인 성능 향상부터 듀얼 스택 지원의 적응성, Layer7 정책 및 Wireguard 기반 암호화의 고급 보안까지 이러한 혁신은 AKS 클러스터가 오늘날을 위해 준비되어 있을 뿐만 아니라 미래를 위해 준비되도록 보장합니다. 또한 멀티 클라우드 환경에서 eBPF 기반 관찰 기능의 매혹적인 세계를 탐험하는 것을 잊지 마십시오! 최신 게시물을 확인하세요 - Retina: Bridging Kubernetes Observability and eBPF Across the Clouds.
왜 기다리세요, 지금 바로 사용해 보세요!
더욱 흥미로운 개발 소식을 보려면 AKS 공개 로드맵을 계속 지켜봐 주십시오! 자세한 내용은 다음 리소스를 참조하십시오.
- Cilium 기반 Azure CNI에 대한 자세한 내용은 다음 링크를 참조하십시오. Configure Azure CNI Powered by Cilium in AKS.
- ACNS에 대한 자세한 내용은 다음 링크를 참조하십시오. Advanced Container Networking Services (ACNS) for AKS | Microsoft Learn.